Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

Schwerwiegende Beeinträchtigungen gemäß § 42a BDSG

22. September 2015

In den meisten Unternehmen ist bekannt, dass bestimmte Datenpannen den Aufsichtsbehörden gemeldet und den Betroffenen bekannt gegeben werden müssen. Auch die dafür notwendigen Prozesse  sind häufig definiert. Dennoch herrscht häufig Unsicherheit, wann genau aktiv zu informieren ist.

Informationspflicht nur bei bestimmten Daten

Vorab: Die Informationspflichten aus § 42a greifen nur, wenn

  • besondere Arten personenbezogener Daten nach § 3 Abs. 9 BDSG,
  • personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
  • personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder einen entsprechenden Verdacht beziehen, oder
  • personenbezogene Daten zu Bank- oder Kreditkartenkonten

betroffen sind.

Über Datenpannen zu anderen personenbezogenen Daten braucht nicht aktiv informiert zu werden. Allerdings muss eine solche Datenpanne bei Anfragen nach § 34 BDSG ungefragt mit beauskunftet werden.

Schwerwiegende Beeinträchtigungen müssen drohen

Zurück zum eigentlichen Thema: Die Unsicherheit, ob nach einer Datenpanne informiert werden muss, liegt in der Regel an der sehr schwammigen Formulierung des BDSG. Laut § 42a BDSG wird die Meldepflicht nämlich nur dann ausgelöst, wenn „schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen“ drohen.

Interessant ist hierbei die Wahl des Begriffs „drohen“. Demnach muss eine Gefahr für die Beeinträchtigungen bestehen, die aber noch abwendbar sein muss. Die Aufsichtsbehörden sehen die Meldepflicht darüber hinaus auch als gegeben, wenn die Beeinträchtigung bereits eingetreten ist. Dieses wird verständlicher Weise derart verargumentiert, dass es natürlich nicht sein darf, dass über bereits eingetretene Beeinträchtigungen „der Mantel des Schweigens“ gelegt wird. Ob eine Gefahr droht, wird von den Behörden so definiert, dass der Eintritt eines Schadens wahrscheinlicher ist als das Ausbleiben. Hier gilt es also im Fall von Datenpannen die entsprechenden Abwägungen vorzunehmen.

Schutzgüter

Des Weiteren sind die Schutzgüter und die Folgen der Datenpanne für den Betroffenen zu ermitteln und zu klassifizieren. Das bedrohte Schutzgut des Betroffenen lässt sich mit aufsteigender Priorität von Gefahren für das Vermögen, über die Persönlichkeitsrechte bis zur körperlichen Integrität klassifizieren. Je höher das bedrohte Schutzgut, desto eher wird die Meldepflicht ausgelöst.

Folgenabschätzung

Ähnlich ist es mit der Folgenabschätzung. Hierbei  ist zwischen niedrigen, mittleren und hohen Folgen für den Betroffenen zu unterscheiden.

Anhand dieser Klassifizierungen kann die Entscheidung über das Bestehen einer Meldepflicht getroffen werden. Besteht beispielsweise „noch nicht einmal“ Gefahr für das Vermögen des Betroffenen (als niedrigstes Schutzgut) und sind zudem die Folgen (Höhe des entstehenden Schadens) gering, dann wird vermutlich keine Meldepflicht ausgelöst. Bestehen hingegen Gefahren für die körperliche Unversehrtheit (vermutlich unabhängig vom Ausmaß), dann wird eine Meldung nach § 42a nicht zu vermeiden sein. In Fällen, die zwischen diesen beiden Extrembeispielen liegen gilt es, abzuwägen.

So wird eine Gefahr für das Vermögen in erheblichem Ausmaß, z. B. bei Diebstahl von Kreditkartendaten ebenfalls zu einer Meldepflicht führen.

Wer muss wann informiert werden?

Zu informieren sind immer sowohl die Aufsichtsbehörden als auch die Betroffenen. Die Aufsichtsbehörden sind unverzüglich zu informieren, die Betroffenen unverzüglich dann, wenn angemessene Maßnahmen zur Sicherung der Daten worden sind und eine eventuelle Strafverfolgung nicht gefährdet wird. Die Information der Betroffenen kann also durchaus solange verzögert werden, bis eine Sicherheitslücke soweit geschlossen ist, dass ihr Bekanntwerden nicht zu weiteren Schäden führt. Auch kann es notwendig sein, sich vor der Bekanntgabe mit den Ermittlungsbehörden abzustimmen.

Melden macht frei…

Eine kleine Kuriosität am Rande: Gem. § 42a Satz 6 darf „eine Benachrichtigung, die der Benachrichtigungspflichtige erteilt hat, [..] in einem Strafverfahren oder einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen ihn [..] nur mit Zustimmung des Benachrichtigungspflichtigen verwendet werden“. Das heißt im Klartext: Wenn die Aufsichtsbehörde informiert wurde, können weder Bußgeld noch Strafen aufgrund der Bestimmungen des BDSG folgen, es sei denn man stimmt zu. Dennoch scheuen viele Unternehmen aufgrund des möglichen Imageschadens eine solche Information und versuchen, das ganze möglichst zu verschweigen. Wer dabei erwischt wird, dem drohen übrigens die „üblichen“ Bußgelder oder Strafen gem. §§43 und 44 BDSG – und dann erst recht schlechte Presse.

Gerne unterstütze ich Sie bei der Implementierung von Prozessen zur Umsetzung der Informationspflicht in Ihrem Unternehmen.